Documente Academic
Documente Profesional
Documente Cultură
scurit informatique
TUNISIE TELECOM
DIRECTION REGIONALE DE SFAX
Elabor par
Baklouti Ahlem
Encadr par
Baklouti Mariem
M. Sahbi Moalla ISIMS Sfax
M. Jallali Riadh DRT Sfax
Date : 12/12/2012
Version : 1.0
But....................................................................................................................................6
2.
Politique de scurit.........................................................................................................6
Organisation interne.........................................................................................................7
But...........................................................................................................................................7
2.
Tiers.................................................................................................................................9
But...........................................................................................................................................9
Chapitre 3 : Gestion des biens...................................................................................................11
1.
2.
Avant le recrutement......................................................................................................14
But.....................................................................................................................................14
2.
But.....................................................................................................................................16
3.
Zones scurises.............................................................................................................20
But.....................................................................................................................................20
Scurit du matriel.......................................................................................................24
But.....................................................................................................................................24
Sauvegarde.....................................................................................................................34
But.....................................................................................................................................34
Introduction
Linformation prsente un des biens vitaux pour la vie, le fonctionnement, la progression et
lvolution de lentreprise. Cette information juste, exacte et pertinente permet lentreprise
daccomplir ses tches, rpondre aux besoins des clients et fonctionner selon les besoins des
dirigeants.
A cet effet, lentreprise doit protger son information ainsi que le systme dinformation
assurant le traitement de cette information.
Pour protger son systme dinformation, lentreprise doit pouvoir valuer les risques pour
mettre en place une politique de scurit informatique du systme dinformation. Ceci dans le
but dassurer lintgrit, la confidentialit, la traabilit et la disponibilit de linformation.
Laudit informatique value les risques dun environnement informatique. Il implique tous les
intervenants dun tel environnement. Il concerne la scurit physique, logique et
organisationnelle.
Ce travail prsente le rapport daudit de la scurit informatique de la Direction Rgionale des
Tlcommunications de Sfax (Tunisie Telecom).
Nous dcrirons notre mission, puis nous prsenterons la socit, ensuite nous dfinissons le
primtre de laudit.
Prsentation de la mission
Notre mission consiste auditer la scurit informatique de la Direction Rgionale des
tlcommunications de Sfax (DRT Sfax). Lobjectif tant de donner une valuation de la
scurit physique, la scurit logique et la scurit du rseau. Nous devons mettre en vidence
les faiblesses, le niveau de risque et nous devons proposer les mesures correctives.
Pour ce faire, nous procderons en deux tapes :
Audit physique et organisationnel :
Il sagit de sintresser aux aspects de gestion et dorganisation de la scurit, sur les plans
organisationnels, humains et physiques. Lobjectif vis par cette tape est davoir une vue
globale de ltat de scurit du systme dinformation et didentifier les risques potentiels sur
le plan organisationnel.
Audit technique :
6
Il sagit deffectuer une dcouverte et reconnaissance du rseau audit et des services rseaux
vulnrables. Cette tape devra faire apparatre les failles et les risques, les consquences
dintrusions ou de manipulations illicites de donnes.
Prsentation de lorganisme
Loffice national des tlcommunications est cr suite la promulgation de la loi N36 du 17
avril 1995. Loffice a ensuite chang de statut juridique, en vertu du dcret N30 du 5 avril
2004, pour devenir une socit anonyme dnomme Tunisie Telecom .
En juillet 2006, il a t procd louverture du capital de Tunisie Telecom hauteur de 35%
en faveur du consortium mirati TeCom-DIG. Cette opration vise amliorer la rentabilit
de Tunisie Telecom et lui permettre de se hisser parmi les grands oprateurs internationaux.
Depuis sa cration, Tunisie Telecom uvre :
consolider linfrastructure des tlcoms en Tunisie ;
amliorer le taux de couverture dans la tlphonie fixe, mobile et transmission de
donnes ;
contribuer activement la promotion de lusage des TIC (Tehnologies de
linformation et de Communications) ;
contribuer au dveloppement des socits innovantes dans le domaine des tlcoms ;
Pionnire du secteur des tlcoms en Tunisie, Tunisie Telecom a tabli un ensemble de
valeurs dfinitoires qui place le client au centre de ses priorits. Ladoption de ces valeurs se
traduit en particulier par une amlioration continue des standards de lentreprise et de la
qualit des services.
Tunisie Telecom compte dans ses rangs plus de 6 millions abonns dans la tlphonie fixe et
mobile.
Tunisie Telecom se compose de 24 directions rgionales, de 80 Actels et points de vente et de
plus de 13 mille points de vente privs. Elle emploie plus de 8000 agents.
Lorganigramme gnral de lentreprise est illustr dans la figure ci-dessous :
Dans notre cas, nous nous intresserons la Direction Rgionale des Tlcommunications de
Sfax (DRT). Ainsi, lorganigramme de la DRT se prsente comme suit :
Primtre de ltude
Le but de laudit informatique est danalyser la scurit de lensemble du systme
informatique, de le critiquer et de le renforcer en tenant compte des contraintes techniques et
organisationnelles.
Nous nous sommes adresss au responsable de la subdivision Support SI faisant partie de
la division Rseaux et SI , pour obtenir les informations ncessaires llaboration de
notre audit. Nous sommes aussi appels interviewer des reprsentants de chaque Division :
Commerciale
Service clientle
Affaires financires
Ressources Humaines
Nombre
Fonctionnalits
70
Ordinateur portable
gestion et de bureautique
Manipuler les logiciels de
Imprimante rseau
Imprimante locale
Scanner
Routeur
17
22
2
1
gestion et de bureautique
Imprimer les tats
Imprimer les tats
Numriser des documents
Router le trafic vers le rseau
Switch
externe la DRT
Interconnecter
Firewall
quipements
Respecter les politiques de
les
scurit rseau
Logiciels
Gis
Workflow
Gestion dabonns
Ordre de travaux
Erp
mobile, data
Gestion de la clientle
fixe,
Architecture du rseau
Planning de ralisation
Etape
Date
Runion de sensibilisation la scurit
Consultation du rseau, routeur, firewall,
switch
Consultation des politiques de scurit
Consultation des applications
Livraison version 0 du rapport
Livraison rapport final
10
2. Politique de scurit
1. Document de politique de scurit
Conformit : Non
Risque : Elev
Constatation
Impact
Pas de document pour la politique de scurit Information non
protg
et
risque
recommandation
de Ncessit de rdiger un document de
direction
divulgation
protg
et
risque
recommandation
de Ncessit de rdiger un document de
politique de scurit valider par la
11
direction
et
priodiquement
de
ce
rviser
et
adapter
document
suivant
scurit informatique.
Dans le cas chant, prendre avis de spcialiste et dexpert dans le domaine (ayant une exprience dans la scurit informatique des
socits de tlcommunication).
Recommandation
Il convient de dfinir une politique de
scurit pour la socit confirm par le
12
scurit
scurit
Risque : null
Impact
Recommandation
Nous avons remarqu que laccs aux bases de Lidentification de la responsabilit daccs
donnes se fait moyennant une authentification aux biens de chaque employ est assure
travers lintranet de lentreprise
1.4 Systme dautorisation concernant les moyens de traitement de linformation
Conformit : Non
Risque : Moyen
Constatation
Impact
Recommandation
Nous avons constat que toutes les applications Lutilisation des ordinateurs portables non Mise en uvre dun systme de gestion des
accessibles via lintranet sont protges par un connects lintranet peut tre une source de autorisations pour chaque quipement
systme dauthentification.
2. Tiers
But
Assurer la scurit de linformation et des moyens de traitement de linformation appartenant lorganisme et consults, oprs, communiqus
ou grs par des tiers
2.1 Identification des risques provenant des tiers
Conformit : Oui
Risque : Null
Constatation
Daprs le Chef Unit Radio Mobile, tout accs
Impact
Recommandation
Impact
Recommandation
Risque : null
14
Constatation
Daprs
le
Chef
Unit
Impact
Radio
Recommandation
Mobile,
15
16
Risque : null
Constatation
Impact
Recommandation
Impact
Recommandation
Recommandation
Etablir un document contenant la rfrence
Lutilisation des appareils mobiles en dehors des Risque de perte des biens lors de leur
locaux est soumise une autorisation verbale
17
biens
Recommandation
Etablir un marquage de tous les biens
de linformation
18
Assurer la scurit lie aux ressources humaines : aviser personnel les bonnes pratiques utiliser pour protger les
renseignements confidentiels et nominatifs, faire un bon usage de leur quipement informatique selon les normes et les
rgles.
Risque : lev
Constatation
Impact
Recommandation
Nous avons constat labsence dun document Impossibilit dvaluer la responsabilit Rdaction
un
document
prcisant
la
spcifions les responsabilits en terme de scurit pour un salari : ce dernier peut nier cette responsabilit et les procdures appliquer
pour les salaris.
responsabilit
de
lapplication
des
19
Nous avons constat labsence des fiches de Le salari nassume pas sa responsabilit Rdiger des fiches de fonctions pour
fonction pour plusieurs fonctions.
dans sa fonction.
1.2 Slection
Conformit : Oui
Risque : null
Constatation
Impact
Recommandation
La slection est faite conformment la lgislation Chaque fonction est occupe par la personne
tunisienne (tous les recrutements sont faits par voie ayant
les
aptitudes
scientifiques,
adquates
Risque : null
Constatation
Impact
Recommandation
Nous avons constat sur un exemple de titre de La relation entre salari et entreprise est
nomination que les recrutements sont faits selon la clairement dfini
loi de travail, et que la dure de stage est bien
dfinie ainsi que les conditions de rmunration
20
21
Risque : lev
Constatation
Impact
Recommandation
Nous avons constat quaucun document officiel ne Les salaris ne sont pas correctement La direction doit s'assurer que chaque
mentionne lobligation de respecter des chartes ou informs
des rgles de scurit
sur
leurs
fonctions
Risque : lev
Constatation
Impact
Recommandation
Nous avons constat, selon les plannings de Lintrt port la scurit diminue par Ladministration doit sensibiliser les
formation que les formations de sensibilisation la lensemble des salaris vue que ces salaris salaris limportance des formations et
scurit existent mais que la sensibilisation par nont pas les mmes objectifs et la mme surtout limpact de la prise la lgre
ladministration limportance de ces actions est mentalit en termes de scurit
insuffisante
1.3 Processus disciplinaire
Conformit : Non
Risque : lev
Constatation
Impact
Recommandation
Daprs notre interview avec le Chef Unit Radio Les salaris sous-estiment la gravit de la Ncessit de mettre en place et de
22
Mobile de la Division des Rseaux et SI, le prise la lgre de la scurit.
publier un document officiel de
processus disciplinaire existe : blmes
pour la
23
Risque : null
Constatation
Impact
Recommandation
Risque : null
Constatation
Impact
Recommandation
Daprs notre interview avec le Chef Unit Radio Prserver les biens de lorganisme et assurer
Mobile de la Division des Rseaux et SI, le la continuit du service.
processus de restitution de biens existe et que
tous les salaris restituent la totalit
des biens de lorganisme quils ont
en leur possession la fin de leur
priode demploi ou contrat.
1.6 Retrait des droits daccs
Conformit : Oui
Risque : null
Constatation
Impact
Daprs notre interview avec le Chef Unit Radio Prserver la confidentialit de linformation
Mobile de la Division des Rseaux et SI, laccs et les biens de lorganisme
physique et logique de tout salari dsirant quitter ou
Recommandation
24
25
Risque : null
Constatation
Nous
constatons
tlcommunication
Impact
que
Les
quipements
ainsi
que
les
Recommandation
quipements protg par lensemble des prcautions Lutilisation des camras de surveillance
physique
26
1 Scurit du matriel
But
Empcher la perte, lendommagement, le vol ou la compromission des biens et linterruption des activits de lorganisme.
27
Risque : null
Constatation
Impact
Recommandation
Impact
Recommandation
Risque : null
Constatation
des
batteries
(contrl
28
Risque : null
29
Risque : null
Constatation
Nous
avons
constat
Impact
que
les
Recommandation
procdures
(supervision
des
systmes
de
Risque : null
Constatation
Impact
Recommandation
programme.
lintervention
de
modification,
La
un
fin
de
Risque : null
Constatation
Impact
Recommandation
Risque : null
30
31
Risque : null
Constatation
Impact
Recommandation
Risque : null
Constatation
Impact
Recommandation
Risque : null
Constatation
Impact
Recommandation
32
33
1.8 Dimensionnement
Conformit : Oui
Risque : null
Constatation
r
Impact
Recommandation
i
Risque : null
Constatation
Impact
o
Recommandation
1.10
Conformit : Oui
Risque : null
Constatation
S
Impact
Recommandation
Risque : null
Constatation
Impact
Recommandation
1.12
Conformit : Oui
Risque : null
Constatation
e
Impact
Recommandation
o
n
36
1.13
Conformit : Oui
Risque : null
Constatation
a
Impact
Recommandation
mcanismes dauthentification
1.14 Scurit des services rseaux
Conformit : Oui
Risque : null
Constatation
a
Impact
Recommandation
ti
limitation
aux
services
ncessaires
au
des supports
But
Empcher la divulgation, la modification, le retrait ou la destruction non autoris de biens et linterruption des activits de lorganisme
37
1.15
Conformit : Oui
Risque : null
Constatation
Impact
Recommandation
Impact
Recommandation
Risque : null
Constatation
Daprs le Chef de lUnit Radio Mobile, les
supports mis au rebut sont rcuprs par la
Division Rseau et SI qui prend en charge leur
destruction
1.17
Conformit : Oui
Risque : null
Constatation
Impact
Recommandation
Conformit : Oui
Constatation
38
Risque : null
Impact
Recommandation
39
de larchitecture du
systme
et des
quipements rseau :
Pour valuer le niveau de scurit d'un rseau, il faut d'abord le connatre. Au cours de
cette phase, lauditeur effectue un inventaire du matriel, logiciels et quipements
rseau. Il effectue des tests de sondage rseau et systme pour dterminer les services
rseau et les types d'applications utilises.
1.1.2 Phase 2 : Audit des serveurs et des postes de travail
sensibles
Au cours de cette phase, l'auditeur dtermine, l'aide des rsultats obtenus l'tape
prcdente, les vulnrabilits des serveurs et des postes de travail. Ainsi, l'auditeur teste la
rsistance du systme face aux failles connues
1.1.3 Phase 3: Test intrusif
L'objectif des tests intrusifs est de mesurer la conformit des configurations quipements
rseaux, firewall, commutateurs, sondes, etc. avec la politique de scurit dfinie. Les tests
d'intrusion sont raliss aprs autorisation du client et reposent sur un ensemble de scnarios
d'attaques expertes mis en uvre pour compromettre un systme d'information.
1.2 Audit de larchitecture du systme et des quipements de
rseau
Il sagit de dterminer larchitecture, la topologie ainsi que les quipements rseau.
1.2.1 Architecture
40
Nous avons constat que le Firewall et le Routeur_DRT_Sfax sont situs dans le mme local
(salle serveur de la division SI).
Les diffrents sites de la Division des Rseaux sont relis soit par des liaisons HDSL (modem
+RTC) soit des liaisons fibres optiques.
Le rseau est segment en cinq sous-rseaux attribus :
Laccs internet et Intranet se fait via une liaison haut dbit 20 Mbits/s.
1.2.2 Topologie
Larchitecture montre une topologie hybride. En effet, tous les sous rseaux et quipements
sont connects un nud concentrique (le routeur). Dautre part, la topologie au sein de la
DRT et de la division des rseaux est en anneau.
41
Nous avons constat que le systme dexploitation le plus utilis est : Windows xp.
Daprs le chef unit radio toutes les copies de Windows utilises sont des copies
originales et avec licences.
Daprs le chef unit radio, tous les logiciels utiliss sont des logiciels avec licences et
avec la possibilit de mise jour automatique.
42
Nous avons constat que les ports ouverts sont souvent des ports TCP.
1.3.3 Sondage du flux et des services :
Il sagit dutiliser loutil wireshark pour faire un sondage du flux qui circule dans le
rseau.
wireshark est un outil qui permet de danalyser le trafic circulant dans le rseau.
43
La rpartition de lutilisation des protocoles montre que TCP est le plus utilis et en second
lieu UDP.
44
Lanalyse du trafic montre que le rseau est fiable : pas derreur de transmission.
Laccs tous ces applications se fait moyennant une authentification par login et mot
de passe.
Une premire tape consiste un balayage global pour la dtection des failles
46
La plupart des vulnrabilits sont basses. Ceci est d au fait que les ports non utiliss sont
ferms, de mme, les protocoles non utiliss sont dsactivs.
1.4.3 Seconde tape: Audit dtaill par ressource
Trouv
Conformit
1 Service Packs
1.1 service packs et correctifs
majeurs requis
1.1.1 Service Pack install
actuellement
Service Pack 3
Conforme
installs
conforme
de
caractre
Conforme
47
90 jours Max
3.1
Paramtre
de
scurit Pas
daccs
permission
explicite
majeur :
Restrictions
additionnelles
pour
les
connexions anonymes
3.2 Paramtres de scurit
mineures
3.2.1 Forcer la fermeture de Activ
session
quand les horaires de connexion
expirent
4 Scurit Additionnelle
Conforme
sans
Conforme
Conforme
Administrateurs
Conforme
4.1.2 Modifier
systme
lheure
Administrateurs
Conforme
Administrateurs
Conforme
4.2
autres
systme :
exigences
Toutes
les
partitions
utilisent le systme de
fichier NTFS
Conforme
Plan daction
48
Conclusion
La fin de notre mission daudit nous permet de conclure sur deux volets.
Le premier volet concerne lorganisme audit et le deuxime volet concerne notre savoirfaire.
La DRT de Sfax ne manque ni de moyens, ni de comptences pour mener bien la scurit de
son systme dInformation et acqurir la norme ISO 27002. Cependant, le manque de lintrt
port certains documents de scurit influe sur lactivit et la scurisation du systme
dinformation. De mme la sensibilisation de certaines catgories dagents la scurit
informatique est un facteur renforcer.
Dun autre ct, la centralisation des serveurs et de ladministration Tunis est un facteur
marquant pour la bonne gestion de la scurit du systme dinformation.
Cette centralisation ne nous a pas permis de tester certains outils daudit technique
convenablement. Ceci ne nous a pas empchs dlargir notre savoir-faire en termes de prise
de contact avec les professionnels, la prise de linformation et lapplication des diffrentes
tapes de la nome de scurit informatique.
49